PODCAFÉ TECH
Aqui você encontrará um bate-papo informal entre profissionais de TI e convidados das mais diversas áreas tratando temas quentes com muito bom humor. Se você é apreciador (ou não) de um belo cafezinho, com certeza vai curtir esse bate papo. Uma forma descontraída e agradável de se informar e manter-se atualizado com as principais questões da gestão de tecnologia. Nossos hosts Gomes, Mr. Anderson e Dyogo Junqueira nos conduzem através deste podcast, sentados em torno desta mesa virtual, tentando reproduzir o prazer daquela conversa inteligente acompanhada pelo cafezinho da tarde, vez ou outra deslizando para uma mesa de bar, afinal ninguém é de ferro. Feito pra te acompanhar na estrada, no metrô na academia ou onde mais quiser nos levar, colocamos o “Pod” no seu café! Pode desfrutar, pois foi feito pra você!
PodCafé Tech
PODCAFÉ TECH
Joas Santos: Hackeando para proteger - Segurança Ofensiva
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Joas Santos é especialista em Red Team e traz uma visão prática sobre como pensar segurança de forma ofensiva. Falamos sobre engenharia social, testes de intrusão, inteligência de ameaças, mentoria e os desafios de construir defesas que realmente funcionam. Uma conversa direta com quem está na linha de frente da segurança cibernética no Brasil.
🎙 Hosts: Dyogo Junqueira, Anderson Fonseca e Guilherme Gomes
🎧 Produção: PodCafé Tech
🚀 Oferecimento: ACCyber Pro
PodCafé Tech é um podcast onde Mr Anderson, Guilherme Gomes e Dyogo Junqueira, recebem convidados para falar de uma forma descontraída sobre Tecnologia, Segurança e muito mais.
YouTube: youtube.com/@podcafetech
Instagram: instagram.com/podcafetech
Linkedin: linkedin.com/company/podcafe
Apresentação dos participantes
Speaker 1Música . Muito bem , muito bem , muito bem . Estamos começando mais um Podcafé Tech . Meu nome é Anderson Fonseca , o Mr Anderson , diretor executivo lá na ACS Pro , e o meu codinome hacker era MegamanX .
Speaker 2Aqui é Guilherme Gomes , diretor executivo na ACS Pro , e o meu codinome hacker era Kumar . Ah , sensacional .
Speaker 3Era ou é né .
Speaker 2Que é Diogo Junqueira , ceo da ACS Pro e da AC Cyber Pro , e é pra mim um prazer estar novamente na sexta temporada aqui com meus colegas . Estava sentindo saudade do seu . Muito bem , muito bem , muito bem , mr Anderson .
Speaker 1Surdecendo a galera . Essa energia , essa energia .
Speaker 2E o nosso convidado de hoje já esteve conosco em outras temporadas . Vou deixar ele mesmo se apresentar é uma fera .
Speaker 3Opa . Então sou o Joás Antônio dos Santos e quero agradecer por estar aqui novamente nesse podcast maravilhoso . Agradecer éional Enquanto você tiver nossos dados , você vai continuar chamando pra cá . A gente não tem opção .
Speaker 2A gente tem que chamar ele sempre . É o cara precisa ter mais um livro , Fica tranquilo É obrigatório né . Não pode vazar o que tem na mão dele . Com certeza , antes de a gente aprofundar um pouco o Joás , o Pote de Caf café agora é pote de café tech , o que aconteceu Me conta .
Speaker 1O pote de café agora é tech , Como é que é o slogan do agro .
Speaker 2O pote de café é pop , é tech é tudo né É isso Dá um de ver essa história cara , já faz um tempo que não cabe dentro da TI tudo que a gente fala aqui .
Speaker 1A gente tem ido muito além . a gente tem falado sobre tanta coisa que vai além de gestão de TI apenas e é assunto de interesse dos nossos ouvintes , da gente . a gente bate um papo aqui sobre coisas que nos interessam . Então o nome Tech veio pra abraçar e ampliar muito mais essas redes de possibilidades . E vai além , vai além . Não é só isso , ele também vem com uma nova linha de coisas . Agora a gente está com redes sociais . tem loja do Podcafé Tec , tem loja do Podcafé Tec , tem loja São essas camisetas bonitinhas .
Speaker 2Tem caneca o negócio é cheio de larulero .
Speaker 1A temporada vem com um monte de novidades e o que marca essa transição é que agora nós somos Podcafé Tech .
Speaker 2Sensacional . Muito bem , joas , cara me conta aí pra gente . Tem gente que ainda não te conhece , tem gente que já te conhece pra caramba . Mas eu tenho certeza que você sempre conhece as outras pessoas mais do que elas te conhecem , por que será né Por algum motivo . O Joás chegou aqui na portaria , cara a mulher falou você já tem cadastro , já veio aqui ? Não , aí . O cara a mulher falou mas você já tem cadastro . Eu falei preocupa , não , já deixei meus dados prontos Porque tá pronto né Basicamente .
Speaker 2ele não perde tempo , Mas conta pra gente , cara , como é que você entrou nesse mundo louco da cibersegurança
Introdução de Joás e sua trajetória
Speaker 2? Dá uma pequena introdução aí pra galera de quem é o Joás .
Speaker 3Perfeito . Então , bom pessoal , sou o Joás Antônio dos Santos . Né Então , deixando aqui É claro , né A gente tem , eu trabalho com segurança ofensiva já tem um bom tempo . Então hoje eu estou liderando um time de Red Team numa consultoria . Atuei em outras empresas também . Como estou percorrendo essa carreira de segurança ofensiva Red Team , pentash mas também já fiz outras coisas também . Não só fiquei limitado à área de segurança ofensiva , já fiz Blue Team , grc , segurança em cloud , devsecops , então já percorri por várias áreas que essa é a graça . Né Cybersegurança não é só uma área , não é só Red Team , não é só Blue Team . Eu vejo o Cybersegurança como um ecossistema completo e eu acho que todo profissional tem que ser um profissional completo , independente de qual área ele esteja . Então minha jornada , minha carreira foi em cima de red team . Hoje eu sou profissional de red team , mas eu sempre embarquei em outras áreas e bom , acho que muita gente deve me conhecer pelo carinha que eu compartilho muita coisa ali no LinkedIn , em redes sociais . Caralho , procuradoria top . Olha , eu gosto assim .
Speaker 3Então já faço esse trabalho contribuidor da Mitri do Mitri também tem comum eu fazer algumas contribuições aí pra algumas organizações eu gosto , sem fins lucrativos , nada do tipo , mas a paixão pela área de cyber , a paixão por essa área que basicamente não vejo só como um meio de ganhar dinheiro , ganhar pão , mas a forma de você colocar todas as suas ideias , as suas loucuras em prática . Então acho que até para quem trabalha com cybersegurança vai entender muito bem A área de cyber é uma área que você não tem limites . Você tá em qualquer espaço E como aqui a gente tá falando de tech , né A gente tá cyber segurança , olha pra tudo . Né Tudo que é tech cyber segurança vai estar lá . Então a gente tem uma área que é multidisciplinar , uma área que é vamos dizer que ela é infinita por si só . Então essa é a maior graça de trabalhar com o Cyber Segurança , é algo que eu gosto de fazer e a minha carreira foi em cima disso . Né Então comecei a trabalhar com o Cyber .
Speaker 2Quantos anos você tinha cara quando você começou ?
Speaker 3Quando eu comecei a trabalhar , eu tinha 16 anos , então eu comecei bem novo .
Speaker 2Não , não . Quando ele começou a trabalhar Tra novo , Não , não . Quando ele começou a trabalhar , trabalhar já tinha salário , é outro histórico .
Speaker 3Quando eu ganhava o meu dinheirinho ali foi com 16 . Fazia pen test . Então comecei já com essa carreira de fazendo pen test , invadindo empresas , procurando por falhas ali . Né Tudo de forma ética , né Sempre a falar isso . Isso é importante , falar Tudo de forma ética E falar . isso é importante falar e falar nisso , cara , você já tem alguns livros hoje tá trazendo pra gente , ganhou autografados do pessoal também .
Speaker 1Sensacional tá aqui a introdução Red .
Speaker 2Team Operation 2.0 você já tinha escrito 1.0 agora é o 2.0 , conta um pouco mais desse livro .
Speaker 3Perfeito . Esse foi um livro . Acho que quando eu apresentei o primeiro no podcast anterior , era um livro que traz como a essência de como você estruturar uma área de red team , que falta talvez essa visão de como os profissionais que trabalham com red team , os gerentes de uma forma geral , os executivos na linha de frente de cyber , construem essa área dentro da sua organização , dentro da sua empresa . Construir essa área dentro da sua organização , dentro da sua empresa , e que essa área consiga conversar com o negócio , porque não adianta O Red Team é ah , vou construir um time de Red Team , colocar meia dúzia de hackers ali com habilidades multidisciplinares e achar que é somente isso . É só dar um terminal e eles vão invadir a empresa e já é o suficiente .
Speaker 3Não existe uma governância por trás esse gerenciamento , os processos que envolvem o Red Team , e eu criei esse livro com essa essência . Hoje você tem somente conteúdos lá fora sobre o assunto . Então eu peguei o que tem de bom lá fora , reuni e trouxe isso para o Brasil . Então eu criei esse livro . Tive mentoria de grandes profissionais
Cibersegurança como ecossistema completo
Speaker 3ali da área de Reddit de forma internacional . Peguei conteúdos que eu já tinha também desenvolvido , materiais que isso , os materiais que eu desenvolvi , eu reaproveitei e coloquei no livro com mais detalhes e eu criei essa série . Então essa série de introdução , o Reddit in Operations , é uma série de livros que eu não sei quantos volumes vai ter , mas já estou indo pro terceiro .
Speaker 3Já está indo pro terceiro já estou indo pro terceiro escrevendo o terceiro e o terceiro .
Speaker 1Prometo que vai ser muito mais prático , né tem um lance que assim aqui você já nesse Operations 2 , aqui você já saiu um pouco da superfície e já começou a trazer um pouquinho da maldade tem ali um pouco mais de código , né já tem entregando umas manhas né e eu quero mostrar isso pra galera , mostrar que o Red Team não é só o Kali Linux , é só ferramenta que já tem pronta .
Speaker 3Não , eu quero mostrar que Red Team , ele é algo , ele é algo tático , ele é algo que envolve inteligência por trás . Se a gente , eu , se vocês notarem a capa do livro o primeiro , o livro que foi republicado , que é a versão 1.0 , que foi publicado pela editora dialética a capa é um soldado subindo uma colina pra fincar a bandeira de red team ali , ele mostrando essa construção . Ele É um soldado subindo uma colina pra fincar a bandeira de Red Team ali , ele mostrando essa construção , ele subindo aos poucos a montanha , então coloquei a bandeira , exato , e aí esse daqui , ele já indo já pra Os soldados , já indo pra batalha , então indo , começando a Esse senso de ir pra batalha , ir pra guerra , vamos dizer assim . E aí o próximo , eu quero colocar já uma capa onde tá rolando uma guerra , mesmo que é remetendo já a operação na prática e mostrando que essa exploração e é onde eu vou focar mais na parte prática , o hacking total ali de uma forma geral , e então eu quero criar a capa . Eu quero que a capa conte uma história , a capa mostre o que o livro você espera do livro e o conteúdo também que é importante .
Speaker 3Então eu quero trazer no 3.0 essa ênfase mais prática e ir escalando E aí também dando spoiler , spoiler . De uma forma geral vai ter livros de Purple Team , outros livros de Blue Team também , porque não adianta só mostrar o Red Team , tem que mostrar também a parte de defesa , porque hoje , convenhamos , tem muito livro sobre ataque mas tem pouco livro sobre defesa ou , principalmente , poucos livros sobre mesclar o Red Team com o Blue Team . Né Ter essa conversa ali Que normalmente a galera O glamour .
Speaker 3Exato O glamour tá no red team né .
Speaker 2Todo mundo quer Que vai atacar , que vai fazer as penetrações e tudo mais , e a galera normalmente não quer ali ir pro lado mais , não vamos dizer sujo , mas o lado de defesa , que normalmente é o que tá apanhando .
Speaker 2Você não quer ser o que tá apanhando , você quer ser o que tá batendo , né , cara , e assim você , falando de Red Team , eu não sei se é dificuldade que você tem pra explicar às vezes pra profissionais que não tem nada a ver da área , o que o profissional de Red Team faz . Eu lembro , cara , pouco tempo atrás teve um incidente de segurança e eu tava explicando pra um grande executivo da O que que era um profissional de Red Team , e eu explicava , explicava , explicava e basicamente tive uma situação paralela pra ele . Eu falei , cara , basicamente é o seguinte o Red Team , o profissional , ele invade seu sistema pra provar que ele consegue invadir seu sistema . É como se um médico te transmitisse umas doenças , te colocasse a doença pra poder curar ela . Mas não existe , entendeu ? Esse foi o paralelo que eu consegui explicar pro cara . Eu falei , velho , o cara tava assim entendeu , tipo , você fala pra que o profissional vai fazer isso , é pra provar que tem aquela vulnerabilidade . Né , cara , exato .
Speaker 2O pessoal às vezes ainda Tem muita gente ainda que não entende o porquê que tem que fazer isso com ? a censura dessa temporada . Então não vou fazer essa piada segura , essa piada segura , essa piada pode fazer , mas não faça é melhor só pra testar .
Speaker 1Se ele fez a pergunta antes da piada , não faça , mas basicamente . Então , entendendo bem , o Red Team vai te fuder . Só pra testar , basicamente isso .
Speaker 3então , entendendo bem , o Red Team vai te fuder , só pra testar , né Basicamente isso , não , ele não vai te fuder , ele vai te provar que dá pra testar .
Speaker 2Vai te provar que você pode ser fudido Vai chegar lá e vai dizer assim ó hoje não , mas assim poderia ter acontecido .
Speaker 3Quem faz isso é os grupos APTs , os cybercriminosos . Eles são . A gente antecipa a situação , a gente entende até onde vai esse buraco , né .
Speaker 2Cara , você tem muito livro que é programação usando C , c+ né Sim eu tenho um agora eu tô construindo pequenos livros também .
Speaker 3É um de desenvolvimento voltado à segurança ofensiva em C C++ , que é uma linguagem que eu gosto né , e o objetivo é mostrar desenvolvimento de malware , técnicas de evasão , porque não adianta a gente ter lá ferramenta de segurança e achar que está tudo certo . A gente pega muitos casos que aconteceram de ferramentas de segurança serem boas mas elas falharem . E quando falham , o que acontece ? isso , que é uma das coisas que o Reddit vai responder se a ferram quando falham , o que acontece ? Isso , que é uma das coisas que o Reddit vai responder Se a ferramenta falhar . Até onde o cérebro criminoso pode chegar . Isso muita gente acaba esquecendo
Explorando o mundo do Red Team
Speaker 3né . Ah , mas eu confio na minha ferramenta . Minha ferramenta lá vai funcionar 24 por 7 , mas a gente viu casos por aí de panes globais né Por conta de soluções de segurança . Então , Não .
Speaker 2E as próprias ferramentas . Elas podem haver alguma vulnerabilidade na própria ferramenta que a gente sabe que acontece . É isso A ferramenta . Querendo ou não , é um desenvolvimento e pode acontecer . Então é importante você estar coberto de todos os lados possíveis . E esse cara sempre tá pensando .
Speaker 3Exatamente .
Speaker 2Na melhoria , na melhoria contínua Ou situações ainda mais ridículas , como a gente pode mencionar o caso da SolarWinds , que deixou um backdoor aberto .
Speaker 1Então assim , literalmente , os caras deixaram um backdoor . Havia um caminho para . Era um construto , não foi uma falha .
Speaker 2Quer dizer , foi uma falha , foi um vacilo , foi uma falha lá desde a construção .
Speaker 1Mas meio que proposital a parada né Não sei se proposital não cara .
Speaker 2Eu acho que basicamente alguém foi lá dentro da linha de produção da parada e fez um ataque .
Speaker 1Deixou a porta , deixou a porta É mas foi programado . Muito bem estudado ali , um dos maiores ataques .
Speaker 2Ainda sentido Cara curiosidade Por que C++ ainda é tão relevante em server segurança Boa .
Speaker 3Porque ela ?
Speaker 2assim . não é uma linguagem popular . Nós não estamos falando de Python , que está todo mundo aí toda hora . Sim , né cara , mas ainda eu vejo que o profissional de cibersegurança utiliza demais o C C++ .
Speaker 3Por quê ? Tem vários motivos , mas uma delas é por conta de ser uma linguagem ali que flerta com baixo nível . E quando a gente quer fazer explorações a baixo nível , a linguagem em si é uma das mais completas porque é uma linguagem que , além de ser o pai de várias linguagens de programação , ela tem muitos recursos pra você trabalhar ali com baixo nível , com essa camada que a gente chama camada de kernel , que é onde você conversa com o coração do sistema operacional . E é sempre aquela questão né , quanto mais você conversa com o coração do sistema operacional , e é sempre aquela questão , quanto mais você conversa com o coração do sistema e mais controle você tem sobre ele , mais difícil as ferramentas de detecção chegarem até lá . A gente tem o exemplo da ferramenta que rolou , o PANI , que é assim .
Speaker 3Todas essas ferramentas , principalmente de detecção de endpoint , tem um desafio para olhar para detecção de endpoint , tem um desafio pra olhar pra essa camada de kernel , essa camada de baixo nível , porque é muito difícil você chegar a monitorar esse lugar , que é um lugar obscuro , que você não tem muita documentação , você não tem muitos detalhes e cada vez mais os atacantes estão se sofisticando .
Speaker 3E o C , ele se torna essa linguagem favorita do Red Team , justamente para criar provas de conceito , criar técnicas em cima dessa camada de baixo nível e também para dificultar um pouco da engenharia reversa da análise de malware , dificultar um pouco da atividade do blue team . Apesar que hoje C , c++ , você tem muito recurso de casos de como você fazer uma engenharia reversa , você reverter aquele código , entender como ele funciona , mas mesmo assim se torna uma linguagem muito eficaz para você estar trabalhando com baixo nível . E aí , quando a gente vai desenvolver malware , vai desenvolver alguma técnica , a linguagem em si se torna a nossa linguagem mais favorita nesse aspecto , por conta das bibliotecas , das ferramentas . Porém não é a linguagem mais ideal para você programar softwares , né Por conta do gerenciamento de memória . Tem outras falhas de segurança .
Speaker 2Tem muito bug . Quem achava que servia só para desenvolver bug ?
Speaker 1na verdade você não explorado também , né Com certeza , Cara você me abriu a cabeça agora que assim , quando a gente fala de hacking , normalmente a gente tá pensando na camada mais superficial né . Mas assim você tem possibilidade de explorar hardware , você tem possibilidade de explorar firmware , você tem possibilidade de explorar tantas outras coisas que estão em outras camadas , não necessariamente ali , o que está em tempo de execução da própria ferramenta que , assim cara , isso é muito lado para olhar , né .
Speaker 3Exato Assim . Hoje a maioria dos ataques vem através de aplicação web . Porém , para um escalation , movimentações laterais e etc . Você tem muita coisa que é nível de sistema . Então você tem lá , você comprometeu o seu alvo . Você está ali no sistema operacional . O que você faz , você vai se deparar com antivírus , com EDR , com DLP , você vai se deparar com features de segurança que os próprios sistemas operacionais têm e qual que é a melhor linguagem para você interagir , apesar que hoje veio linguagens mais modernas , como o Rush , que hoje é o queridinho da galera do Red Team porque é uma linguagem que trabalha com baixo nível , flerta , uma linguagem desenvolvida ali pela Microsoft que promete substituir C daqui a algum tempo não sei quando , mas hoje a gente tem É candidato né Porque hoje Kernels do Linux , windows , vários Mac utilizam o C por trás . Então ela está se tornando uma concorrente e está também .
Speaker 3Você tem uma dificuldade muito maior de fazer uma engenharia reversa . Em Rush Ela tem uma . Ela tem uma performance e uma otimização do código às vezes muito melhor que a linguagem C e até mesmo quando a gente fala de gerenciamento de memória é melhor que C . Porém , ainda C se torna um querido porque você tem muito mais recurso , muito mais bibliotecas , muito mais exemplos , muito mais usos práticos de uma forma geral Já tem muita coisa pronta .
Speaker 3Muita coisa pronta e você flerta com uma linguagem que o próprio sistema operacional . Por exemplo , a gente fala dos ataques mais recuentes em Windows ou mais Linux , também que usam C , então você consegue trabalhar com essas bibliotecas . Essa parte interna do sistema operacional , mas de uma forma geral é o perfeito ponto , essa parte . A gente só olha o alto nível . Mas e o baixo nível a gente tem muita coisa . A gente tem mundo exploração de drivers que estão vulneráveis .
Speaker 3Você tem exploração do próprio kernel do sistema e a gente tem várias falhas de segurança que geraram dores de cabeça pro mundo em geral , que foram feitas em cima de kernel , vulnerabilidades que foram exploradas em kernel ou em algum serviço do sistema operacional , com o exemplo o MS-17010 , o EternalBlue que é em cima do protocolo SMB . Tudo aquilo dali foi uma exploração em cima , detecção de vulnerabilidades em cima do serviço , uma análise , uma pesquisa em cima pra encontrar formas de corromper a memória do processo , encontrar formas de digitar o código malicioso e aí , graças a uma falha como essa , você teve aí o grupo , grupos APTs explorando , né o grupo norte-coreano explorando ali com o WannaCry pra ir infectando milhares de dispositivos .
Speaker 1Aí deu ruim . Mais uma vez você me abriu a cabeça porque assim , se eu entendi bem , o cara consegue . Ele pode estar combinando técnicas , ele entra a nível de browser , mas depois que ele está dentro , pra ele lateralizar , ele começa a explorar possibilidades em baixo nível ver qual o hardware , qual o sistema operacional , quais são os buracos que ele consegue expandir dentro da rede do cara Exatamente Muitas das operações de rediting até que eu faço .
Speaker 3a gente segue uma cadeia lógica acesso inicial , persistência , escalação de privilégios e etc . Até chegar ali no objetivo principal , percorrendo tudo aquele que a gente chama de cyber keychain , desde o processo de reconhecimento até o processo dos objetivos , que é se filtrar dados ou criptografar esses dados . e geralmente o acesso inicial se dá por três fatores uma vulnerabilidade a nível de aplicação , então se tem uma aplicação web que está vulnerável , então a gente encontra uma vulnerabilidade , explora e acessa o sistema e a partir daí a gente faz as movimentações laterais , o pivoting , que é pular de uma rede para outra . Ou a gente faz engenharia social , que é o fator principal na engenharia social hoje .
Speaker 3a criatividade principalmente com o chat GPT , com IA , você tem uma criatividade muito ampla , então você utiliza engenharia social . ou o terceiro , que é através de vulnerabilidades então tem um dispositivo exposto , um servidor exposto com uma porta , um serviço que está rodando , vulnerável , a gente explora a vulnerabilidade e a partir dessa vulnerabilidade a gente faz o comprometimento do ambiente . Então esses são os três pontos principais numa exploração de vulnerabilidade E aí eu vou colocar o quarto , que agora se tornou mais comum , que é a cadeia de suprimento . Então , ao invés de atacar diretamente o meu alvo , eu ataco a cadeia de suprimento dele .
Speaker 2Que é exatamente o que aconteceu no caso da .
Speaker 3SolarWinds
Investigação na Dark Web e cuidados
Speaker 3E aí gera todo esse dano para empresas e até para outras . Então , desde que você consegue acessar a cadeia de suprimento , você consegue acessar qualquer organização através dela . Então eu já peguei operações de red team que você atacava a cadeia de suprimento , você comprometia aquilo que fornecia , seja a ferramenta de gestão de ativos , ferramenta de gerenciamento de ticket ou qualquer outra ferramenta que gerencia algo para a empresa , e a partir dela eu só comprometia o ambiente . Eu chegava no ambiente que eu desejava ou usava ela aquele vetor , aquela cadeia de suprimento , como um vetor para uma engenharia social colocar um phishing , algo ali que a pessoa clicasse , baixasse , infectava e acabava infectando . Então hoje você tem muitos cenários , mas esses são pelo menos os quatro cenários mais utilizados hoje em dia . E aí , consequentemente , quando a gente fala de vulnerabilidade , a gente está falando de pesquisadores que fazem , acham essas vulnerabilidades e encontram esses problemas , esses zero days , e às vezes essas vulnerabilidades já foram esses problemas , esses zero days , e às vezes essas vulnerabilidades já foram reportadas em algum momento mas não foram atuadas . Em correção . Ah , não vamos corrigir porque ?
Speaker 3não faz parte , não vamos colocar nossa esteira não tem interesse . Só vai ter o interesse no momento que há uma exploração . Então você tem muita CVE aí registrada que às vezes não foi corrigido , ou tem uma correção mas não foi divulgada , não chegou pra galera , ah , corrija porque é algo crítico . E aí você vê muita CVS lá , 2020 , que sei lá . Você vê uma reportagem hoje de várias empresas sendo exploradas , mas você pega a CV que estava sendo explorada , uma CV de 2020 , 2016 a gente encontra muito ainda .
Speaker 2A gente tem um software que faz gestão , que faz a varredura . Quando a gente faz a varredura a primeira varredura é aquele ataque no coração . Assim , se o cara vai descobrindo Windows desatualizado , vulnerabilidade que já está há muito tempo lá , então De browser , então Não e os próprios , fazendo um pouquinho de meia culpa aí , porque os pessoais de TI , às vezes a gente fala muito pra fora , mas às vezes os próprios sistemas às vezes já tinha correção e não foi atualizado , que já aconteceu muitas vezes . Algum plugue tinha ali às vezes pra automatizar isso aí né cara .
Speaker 2Isso aí é fácil de resolver , é só ligar pro Gomes entendeu , é isso aí mesmo .
Speaker 1É uma parada que tem até falado bastante sobre isso . O que é possível automatizar , não cabe você deixar um humano fazendo Não mais .
Speaker 2Imagina em escala , né cara , você ficar atualizando em escala diversas máquinas . É quase impossível . Todo dia tem uma viabilidade , então tem que ser algo A parte de atualização de patch não tem como Tem que ser .
Speaker 3Nós estamos falando de Tem que ser automatizado e isso no reditinho está sendo comum automatização , uma coisa que a gente faz no reditinho , até complementando gestão de vulnerabilidade todo esse processo é a gestão da superfície de ataque , que é algo que é deixado a desejar na maioria das empresas . A pergunta que eu faço , até pra os executivos que vão assistir aqui a esse podcast , é você sabe como está a sua superfície de ataque ? Você já parou para entender o que está exposto Ou que algum ? vamos supor você tem um time de desenvolvedores . Será que eles vão deixar uma API , uma chave de API , lá no GitHub , no GitLab , ou uma collection do Postman , uma senha chumbada no script é hardcoded e tudo .
Speaker 3Então assim será que você tem essa noção hoje em dia , você tem noção de quantos ativos estão expostos no Shodan , no Sense , entre outras ferramentas . É um problema estar exposto ? não é um problema você não estar olhando e você achar que que tem lá um servidor que todo mundo mexe , aí alguém sobe um serviço vulnerável e bom , já era . Eu já peguei casos de pen test , assim tem um servidor né em produção e aí os analistas foram testar nesse servidor , foram subir um ambiente de teste e esse ambiente de teste tinha vulnerabilidades porque eles estavam subindo uma aplicação pronta , um docker com aplicação pronta , porque eles estavam querendo testar alguma coisa . Lá foi encontrado , a gente explorou , tinha um monte de falha e a gente reportou .
Speaker 3Depois que chegou na hora de apresentar o relatório , ah não , mas isso daqui era um ambiente de teste . Não sei o que . Pior ainda , vocês colocaram algo de teste . Não sei o que . Pior ainda , vocês colocaram algo de teste numa máquina que está exposta , está em produção de alguma forma , e isso se torna um vetor para você acessar a sua cloud . Eu exploro o ambiente de vocês , eu entro no ambiente , eu faço um escape do Docker , uso uma técnica para escapar do Docker , sair daquele ambiente de container para ir para a sua máquina física e eu assumir o controle da sua cloud E aí , e como você vai explicar isso pro seu ?
Speaker 2Relaxa . Foi só um vídeo de teste . Mas foi sem querer , querendo né Você falou alguma coisa interessante aí , cara , como é que Tá ? a gente falou de dark web , você falou de investigação . É muito importante pra isso . Como é que se dá esse processo dentro do Red Team E os cuidados que o profissional tem que tomar , né Como é que qualquer um que chega lá e começa a fazer a pesquisa . Não tem um Google , né cara , não é assim que funciona .
Speaker 2Conta um pouco pra gente aí , mata um pouco dessa curiosidade como é que funciona essa parte de pesquisa realmente na Dark Web ?
Speaker 3Excelente , boa pergunta . Hoje é fato que o red team ele tem que consumir de threat intel , inteligência de ameaça . Tudo é inteligência , tudo é dados , tudo é informação que a gente coleta e tenta transformar isso em inteligência pra nosso negócio , pra gente entender quais são os nossos calcanhares de Aquiles , as nossas joias de coroa . E threat intel ele tem que olhar pra vários cenários . A gente olha pra darkários , a gente olha para a Dark Web também . A gente olha para esses cenários e a Dark Web não é só a gente falar que a Dark Web é acessar a rede Tor . Não , não é só isso . A Dark Web está em Discord , em Telegram , em Signal , em página que não é indexada no Google . Por exemplo , você tem fóruns de hacking , de venda de dados , né que estão aí na Surface . Então você dá um Google , você Recentemente , né esse fórum É , não tá indexado E alguns até tá indexado . Você pega o exemplo do Bridge Fóruns , né que é um fórum que sempre tá caindo mas é preso um dos donos , mas é igual , é hidra . Né Você corta uma cabeça , surge insetos , então é , e todas elas estão na Surface . Mas por quê ? Ah , mas pera aí . Mas por que tá na Surface ? Porque eles utilizam técnicas de anonimato . A gente chama de OPSEC avançados . Né , então , hoje tá muito mais .
Speaker 3Hoje você consegue subir um servidor na sua face e dificultar o seu rastreamento . Tem recursos para isso , tem formas de você fazer isso . Porque a tecnologia foi evoluindo . Conforme a tecnologia vai evoluindo , o cybercrime vai evoluindo junto com ela . Então , quando a gente faz uma investigação como essa , a gente tem que pensar o primeiro da nossa responsabilidade . A gente não pode chegar lá é , por exemplo , começa a interrogar um usuário que vem de base de dados e perguntar olha , você tem base de dados dessa empresa aqui . Ah , peraí , ok , mas por que ? ah , não , eu tenho aqui essa base de dados . Aqui você começa a Você tem que fazer todo o trabalho de inteligência e contra-inteligência também , mas tem que ser sábio nesse processo . Tem muita gente que já quer chegar criando uma thread lá no fórum perguntando ah , preciso , quero comprar bases dessa empresa aqui Não Monitora , vai entendendo , gera reputação . Existe todo esse esquema de investigação antes . Né Você tem que se passar despercebido . Tem fóruns que pra você acessar , você tem que responder um questionário . Eles têm uma que até pergunta você é algum policial ou algo nesse sentido .
Speaker 2Você tá com intenção de me prender . Você tá falando a verdade .
Speaker 3Então eles sempre vão monitorando toda essa série de comportamento . Então você também tem que ter cuidado , né Até pra você também não cair num phishing ali . Ah , não tem o sim , Olha aqui , toma pra lá . Aí você clica .
Speaker 1Clica aqui , né cara .
Speaker 3Olha , maravilhoso , né Você não sabe quais técnicas ele tem É um campo minado né , cara Você tem que saber onde pisar Exato É um campo minado sempre .
Speaker 3Então você tem que tomar cuidado , porque isso também pode gerar problemas para a sua empresa . E como que você vai provar que você não era a pessoa , que você não fazia parte do esquema ? né Porque os executivos , o board não quer , não entende isso a gente que é de red team que peraí o que ele estava fazendo nesses fóruns aí porque ele estava olhando , não é porque eu estava levantando inteligência , estava fazendo contra inteligência ali também . Peraí , calma , não quero saber o que você estava fazendo . Você fez uma ação ali que prejudicou a minha consultoria que a gente contratou aqui . Detectou lá alguma coisa ? Não , mas era um teste que eu estava fazendo para ver se alguém se interessava . Tem muita gente que faz o teste que é o seguinte ah , quero testar o Threat Intel . Eu entro no fórum e falo vendo dados da empresa XYZ . Ah , coloca um pseudo dados ali da empresa XYZ . Ah , coloca um pseudo dados ali da empresa e fala agora vamos testar o Threat Intel . Só que você , se você não fizer isso de uma forma responsável , você gera um alvo pra sua empresa .
Speaker 2Você tá chamando atenção porque as vezes o cara fica tão puto .
Speaker 3Ele fala é , essa coisa é falsa deixa eu pegar um verdadeiro peraí , deixa eu te mostrar , tá criando um advertise ali pro seu cliente .
Speaker 1Toma muito cuidado se você fala assim . Vendo dados da Coca-Cola , beleza ele tá querendo agora quando você pega uma empresa XYZ e faz isso , você , tá botando uma mira na resposta do cara .
Speaker 3Nunca ouvi falar dessa empresa . Olha , essa empresa processa 100 milhões de dados por mês . Resposta do cara entendeu , Faun , que interessante . Eu nunca ouvi falar dessa empresa . Olha , Deixa eu ver aqui . Essa empresa processa 100 milhões de dados por mês .
Speaker 2Ei , você aí já se inscreveu no nosso canal , já ativou o sininho das notificações E aquele comentário E as nossas redes sociais . Você já seguiu a dos apoiadores da CESPRO , da CESPRO , da CESCYBER . Bora , lá , tá tudo aqui na descrição , cara , aí chegamos no termo né Decepção cybernética ou cyberdeception , cara , que conta pra gente ? que história é essa ?
Speaker 3Perfeito né .
Speaker 1Informação falsa Deception e decepção são dois caminhos diferentes . É , Então ?
Speaker 3assim , a gente , olhando pra , entendendo um contexto também de de red team , de dark web , essas coisas , a gente vai e faz o processo de investigação , então a gente coleta esses dados , a gente traz esses dados pra empresa e traz inteligência em cima . A gente coletou dados , a gente traz com responsabilidade . Então isso pra concluir o assunto , ali da parte da dark web . Agora sobre server deception , esse é um termo que eu como é que traduz ele em ? português cara decepção cybernética .
Speaker 2Decepção cybernética decepção cybernética o conceito do deception é você gerar uma falsa expectativa em alguém , como é que a gente traduziria não tem em português acho que isso é um assunto meio polêmico .
Speaker 3Isso é um assunto meio polêmico isso é um assunto meio polêmico , é uma trairagem mais ou menos o que você está explicando exato . Assim é que , de uma forma geral , essa parte de cyber deception a gente não usa com essa ênfase de cyber deception , a gente não usa com essa ênfase cyber deception . Acho que é um assunto você não seria como uma ratoeira digital .
Speaker 1Você deixa ?
Speaker 3ali uma coisa dando mole mas essa coisa que está dando mole na verdade é uma armadilha . Ela pega quem quer pegar você como se fosse um ronin pot , uma roninete ou algo nesse sentido é que isso é referente a . É que a gente não usa esse termo . Esse é um termo até que eu já ouvi em alguns lugares , mas não é um termo que a gente usa , tá no nosso cotidiano não faz parte do nosso cotidiano então como é que tá sendo .
Speaker 2IAiano , então , e IA cara , como é que
IA aplicada à segurança ofensiva
Speaker 2tá sendo ? IA Tão utilizando muito IA hoje já em IA Team , cara Bastante .
Speaker 3Assim , hoje ainda a IA ela tá nesse hype , né Que é um hype que veio pra ficar , né Não vou nem chamar mais de hype , é um fato . É um fato hoje em dia E é hoje cada novas tecnologias de IA mais avançadas . Então hoje , por exemplo , o JetEPT está criando , tem o Operator . Então eu vi muitos casos da galera usando o Operator para automatizar testes de segurança , de gestão de SQL , alguns testes ali , usando IA , um bot automatizado . Mas também tem até um projeto da própria NVIDIA que eles criaram , que agora esqueci o nome acho que é GARAC , alguma coisa nesse sentido que é focado para segurança ofensiva . Então estão surgindo muitos projetos voltados à segurança ofensiva para testar qualidade de código , testar resiliência de aplicação , criar cenários de simulação de adversário , de emulação de adversário . Porém ainda não tem algo tão completo que explora uma cadeia completa de ataque . Tem empresas que estão prometendo criar uma IA que consiga automatizar muitos cenários de ataques dentro de um pentest de aplicação web . Tem uma mesmo que já pegou ferramenta , o PortSwig Labs , o Pentest Labs , entre outros laboratórios , e colocou a IA para resolver . Então algumas estão resolvendo ali , tem 80% do laboratório já resolvido . Então isso só mostra que a gente está indo para uma área , para um mundo que IA , ela não é mais um algo que a gente tem que descartar no nosso dia a dia Eu mesmo particularmente util tem que descartar no nosso dia a dia . Eu mesmo particularmente utilizo , eu utilizo bastante .
Speaker 3Principalmente eu crio meus próprios modelos prontos ali , coloco o conhecimento que eu quero né e uso ela pra me cuspir resultados , cuspir dados mais voltados a negócio , cuspir informações mais precisas de cenários de ataques . Então eu tenho um IaaS que , ah , eu preciso gerar uma campanha , um script , um script pro Atomic Red Team , por exemplo . Então eu já criei , já trabalhei pra IaaS , gerar esses scripts . Eu só passo os requisitos E aí eu diminuo o meu tempo desenvolvendo automação , desenvolvendo scripts de automações , e eu fico mais na parte de execução e gerar e consolidar os resultados . Daqui um tempo eu vejo que consigo até consolidar melhor os resultados . Faz o processo de execução e você só vai ficar com mais a parte analítica transcrever aqueles resultados para nível de negócio . Mas acho que ainda vai demorar , não muito , mas um pouquinho , pra gente chegar nesse nível que tá evoluindo rápido , tem certa resistência tem preconceito com IA .
Speaker 1Eu vejo essa situação da IA construindo código , você deixa de ser construtor de piano pra ser pianista , ao invés de você ir lá fazer toda a base , toda a escritura , pra depois você compor a música . Você já tá tudo pronto , ali Vai muito mais rápido .
Speaker 2A velocidade é outra .
Speaker 3E aí até falando até mesmo sobre a IA . A gente também usa muito IA pra investigação também . Então Threat , intel , entre outras coisas , a gente vai fazer uma investigação na Deep ou Dark . A gente trabalha com muitos dados . Então se você tem um LLM , seu não uso algo que você tem ali pronto dentro do seu ambiente controlado , você consegue fazer , minerar os dados que tem ali e transformar aqueles dados em inteligência , criar indicadores precisos para a empresa , para a gente também , melhorar nossas ferramentas . Então , até dentro de inteligência de ameaça , entre outros pontos , ia está começando a se envolver um pouco mais . Tem profissionais que estão resistentes , tem outros profissionais que já usam no dia a dia , porém tem profissionais que estão resistentes . Tem outros profissionais que já usam no dia a dia .
Speaker 3Porém a gente começa a ver muitas ferramentas , até ferramentas de inteligência , usando essas soluções até pra gente percorrer , porque é muita coisa . Quando a gente fala de investigação de uma forma geral , é muitos horizontes que você vai entrar , é muito amplo . Então IA se tornou algo do cotidiano . Não tem como você falar , não uso IA até pra coisas mais bestas . Assim você pega IA e utiliza , porque eu falo que a IA substitui o Google né . Então você não vai mais no Google lá e escrever , você vai no .
Speaker 2IA ou . LNM ao invés de perguntar pro Google , você pergunta pro chat PT eu fui longe de uma viagem .
Speaker 1Aqui você falou sobre a capa do teu livro e eu sou um cara de raiz de design . Sempre gostei muito . Você escolheu os soldados pra estar aqui , porque estamos em guerra digital , isso é muito claro . Do teu livro . Um você escolheu a cena dos soldados levantando a bandeira . É exatamente a cena do , a foto famosa , o Raising the Flag , lá de Hiroshima , que os Estados Unidos usaram aquela foto basicamente como propaganda pra vender bônus de guerra , cara que assim já não tinha mais grana pra financiar a guerra . Eles começaram a vender bônus de guerra e o povo começa a botar dinheiro e aquilo ali foi uma virada de propaganda muito forte . E aí o que que me ocorre Sobre red team , sobre investimento em cibersegurança é preciso levantar essa bandeira de propaganda também da importância da cibersegurança , porque para você angariar investimento a galera botar grana , você tem que realmente mostrar ali os resultados . Acho que esse foi o grande lance , a grande virada foi essa .
Speaker 2E mandando a pergunta dele qual a importância ? porque a gente sempre está batalhando aqui para tentar conscientizar os executivos , os boards , o pessoal que não está de TI , o pessoal que libera a grana para ele conscientizar que segurança é investimento e não custo , não gasto . Então , qual o papel , na sua opinião , o papel do Red Team dentro desse contexto , utilizando essa deixa aí do Mr Anderson , Boa .
Speaker 3Então , quando a gente olha pra um cenário Hoje Reddit , é muito difícil você vender pro negócio porque é um mundo totalmente , é um mundo totalmente fora da curva Comparado a outras áreas de cyber . O Reddit ele chegar e mostrar qual que é o valor do trabalho dele e pedir budget , pedir investimentos , segurança , ofensiva por si só é até um mundo muito complexo de se entender , é um mundo muito amplo . Então , o que eu sempre a gente como profissional de redit tem que estar esperto é como conectar o redit a um negócio . Se a empresa tem riscos de negócio mapeados , é um ponto . Se a empresa tem um plano , um , um BIA , um plano de análise de impacto de negócio , já é outro ponto .
Speaker 3A gente tem que estar sempre olhando para o negócio de uma forma geral . Se o reditinho ele trabalha somente na casinha dele , ah , vou invadir tudo , vou hackear tudo . As pessoas vão olhar e falar legal , isso é interessante , mas não vai ver um valor em retorno , em investimento , em é como se você fosse pra uma guerra , mas essa guerra você não vê um resultado . Por que você tá indo pra essa guerra , por que você tá lutando essa batalha , se eu não estou vendo um resultado claro ? Então , quando você vai para uma batalha e as pessoas começam a enxergar o resultado , começam a enxergar que aquela batalha faz sentido , eles começam a investir mais na sua ideia , na sua crença Propaganda de guerra Exato propaganda de guerra .
Speaker 2Real guerra é verdade . Propaganda de guerra deixa eu pensar é aí que é por aí que realmente pode ajudar você vender a sua área .
Speaker 3Vender a área de Reddit é um pouco difícil , não é muito simples . Até outras áreas sofrem com isso . Mas você fazer a melhor propaganda , mostrar valor ao seu trabalho como que você mostra o valor ao seu trabalho . Você tem que gerar métricas . Você tem que gerar algo qualitativo , quantitativo . Você tem que gerar métricas . Você tem que gerar algo qualitativo quantitativo . Você tem que gerar algo que demonstre para a empresa que você está trabalhando , que aquilo que você faz sentido de existência , que você não é só a pessoa que está ali para hackear , para invadir coisas . Você está ali para mostrar para a empresa que ela está segura ou que ela tem algum problema . Mas você tem que saber fazer a propaganda . Você tem que vender o seu trabalho como um trabalho mais estratégico possível para o negócio .
Speaker 3Porque se você vende um trabalho não sendo totalmente estratégico , mostrar que é somente um trabalho , que você está ali só como operacional , como execução , como Não vai ter verba , não vai vir o dinheiro , não vai vir o budget , apesar que o Reddit consegue se virar sem budget , consegue de alguma forma ou outra . Mas mesmo assim , com budget as coisas ficam mais fáceis e a gente fala de grupos APTs , de ameaças mais avançadas . Eles tem dinheiro . Eles tem mais recursos que muitas das vezes red teams dentro de uma empresa , então eles testam bem mais . Tem mais pessoas , tem o foco deles são aquilo .
Speaker 2É o negócio deles . É o business deles . É o business né É um business bilionário pra quem precisa Inclusive através da C-Cyberpro .
Speaker 1Nós temos viajado o Brasil inteiro , estado em algumas empresas . Me lembrei do trabalho que foi feito lá em Jaraguá do Sul , lá na Malve Um abraço para o nosso amigo Alex lá Mas o que eles fizeram na empresa Eles têm lá a semana de cibersegurança É sensacional .
Speaker 2Onde tem né Eu tive o prazer de palestrar lá .
Speaker 1A galera é bem bacana , abre para a comunidade E fazem palestras de cibersegurança , elevando o nível de conhecimento de todo mundo .
Speaker 2E não só da empresa . Tá Tem inclusive pra comunidade pessoal em volta bem interessante .
Speaker 1Alertando pra o que é o universo de cibersegurança , o que assim ? porque quanto mais elitizada também a informação , mais complicada e inacessível é até a própria propaganda . Sim , eu vejo aqui no nosso relacionamento com gestão , né Diogo , o nosso CEO , então assim algumas vezes , diogo , eu acho que isso aqui vai dar problema , aí ele ah , vai dar nada . Aí o Gomes vira e fala assim ó , eu também acho , aí ele opa .
Speaker 2São duas pessoas Pera aí . E alguma coisa deve estar .
Speaker 1Então , assim você difundir o conhecimento que às vezes chegando só do Red Team também chega assim . Ah , essa galera é pessimista demais . É exatamente A gente tem que aumentar o investimento em cibersegurança .
Speaker 2Apesar de tudo Todo mundo pedindo dinheiro , O vermelhinho aí chegou né .
Speaker 3Apesar de tudo , tem uma coisa que é muito interessante né Acho que a área de cibersegurança dependendo da empresa que você está , a área inteira pode ser uma decepção . Por quê O olhar para a cibersegurança às vezes só vem como um meio de propaganda ? Ah , eu tenho cibersegurança , eu tenho um time de segurança . Mas e o investimento E os processos , como esses processos são aplicados ? Eles são respeitados ? Os ritos de segurança são respeitados dentro de uma organização ? Não acontece isso Às vezes em algumas empresas ? Ah , tem o cyber segurança , mas o cyber segurança está muito mais como o apagador de incêndio . Mas poxa , se eu sei que tem uma afiação solta , se eu tenho algo que pode causar um incêndio , por que eu não vou lá e corrijo , não vou tratar . Não , não espera o incêndio acontecer , que aí você vem , não espera aí .
Speaker 2Aí é difícil né cara .
Speaker 3E aí quando você vai ver o dano , mas primeiro você sabe o quanto .
Speaker 2Mas em cyber é muito assim né cara É infelizmente ainda né cara Nossa ano após ano , a gente continua né lidando com clientes que é exatamente isso . A gente trata o projeto por seis meses , não tem verba . Aí do dia pra noite surgiu verba . Você pode ter certeza , cara .
Speaker 1É muitas vezes é em conta .
Speaker 2Aconteceu isso a XYZ e a verba apareceu do dia pra noite . Isso é muito errado , né cara . Custa muito mais caro .
Speaker 3E tem um ponto também que agora eu tinha até uma frase de um amigo meu que eu até esqueci , como que era a frase de uma forma geral mas cybersegurança é a área que todo mundo sabe que precisa . Você pode ir na rua qualquer pergunta pro pessoal . Você acredita que tem que existir . Cibersegurança
O valor do Red Team para o negócio
Speaker 3é fundamental , cibersegurança é fundamental , mas na prática é um custo é um custo , é uma pessoal vê como custo ainda .
Speaker 3É um custo , é uma chatice , é uma burocracia , é tão burocrático às vezes , é tão burocrático como se fosse uma fila de lotérica , como se fosse guia de exame pra passar num convênio . Essas pequenas burocracias . Tem carimbado tem Não carimbou , Volta lá do apartamento A mesma coisa se fosse um cartório Segurança . A governança é só o cartório da adesão .
Speaker 2Lá vem aquele cara chato E bloquear mais alguma coisa .
Speaker 1Eu vou te dizer uma outra coisa também que me incomoda . A gente vê o nosso dia a dia . A gente vê no nosso dia a dia , a gente tem ferramentas de segurança , mas o que acontece ? Vou contar uma história . Uma vez chegou eu estava com um amigo num bar , aí chegou um cara pedindo dinheiro . O cara virou e falou assim Cara , eu estou com fome , preciso comer Bababá . Abri a carteira , tirei 20 reais , obrigado , valeu , e foi embora . O meu amigo falou assim Eu jamais faria isso , de jeito nenhum . Como que você dá 20 reais , eu não dou 20 reais na mão do mendigo . Eu tenho que ver se ele vai comprar o pão , ou então eu vou com ele na padaria , compro o pão , compro não sei o que , porque senão o cara pode comprar cachaça , não sei o que . Eu falei assim amigo , deixa eu te falar uma coisa Eu não sou consultor de mendigo . O que ele vai fazer com o dinheiro dele com certeza não vai ser bom , porque senão ele não era um mendigo .
Speaker 1Vamos partir do princípio pode não ser , bom , pode não ser , mas não cabe a mim ficar velando a expectativa do cara o cara me pediu ajuda , eu ajudo e eu acredito seriamente que em algum grau , em algum grau a área de segurança tem que ter liberdade do que ela vai fazer com a verba , porque às vezes o cara diz assim não peraí , eu tenho esse budget aqui e o teu especialista entende que ele tem que investir naquilo , e aí você não , mas peraí , isso aí não é importante . Agora O cara que é o especialista , ele que está dizendo que é aquele investimento .
Speaker 2A galera tem que saber realmente priorizar , porque é muito amplo e o investimento vai ser muito longo .
Speaker 1Você é um especialista e você quer ser consultor dele . Mas assim cara em algum grau é uma faca de dois , uma faca de dois lados . Tem que ser avaliado .
Speaker 2O budget , ele tem que O rating , ele tem que conseguir explicar pro board o porquê que é importante o investimento . Cara , ninguém chega a dizer assim ou eu vou te , Não é 20 reais que o cara tá dando é um pouquinho mais , Tem que ser justificado . Tem que ser bem explicado . E quando tem justificado e o cara assume o risco , tudo bem . Aí o cara de segurança passa pra frente , assume o risco . beleza , O risco é seu .
Speaker 3Tem um site chamado Red Team Guide . Ele foi criado por um Eu tô . Eu ia lembrar o nome do autor aqui Eu vou lembrar pra você .
Speaker 3Ele tem um livro chamado Red Team Development Operations , que foi um livro que acho que era Ben Clark . Se puder pesquisar agora acho que o Ben Clark era do RTFM , mas ele tem o livro dele . É muito bom porque ele também fala um pouco dessa questão da área de negócios . Ele ensina você a criar uma operação de Red Team , desenvolver essa operação de red team e lá e você vê que não é algo só exclusivo do Brasil , esses problemas Também que eu queria trazer a gente tem muita gente falando .
Speaker 1Ben Clark .
Speaker 3Ben Clark , ele mesmo . O Ben Clark , acertei . Ele tem o . O livro dele é muito bom , é um livro de cabeceira . Ele tem o .
Speaker 3O livro dele é muito bom , é um livro de cabeceira que também eu recomendo , o meu primeiro volume também . Eu me inspirei nas obras , nos artigos também que ele tem , e ele coloca muito essa questão sobre o Red Team , o Red Team hoje ele é visto como algo que é fundamental para a área de cibersegurança . Não tem nenhuma empresa que fala que não precisa de Red Team . Hoje é visto como algo que é fundamental para a área de Cyber Segurança . Não tem nenhuma empresa que fala que não precisa de Red Team . Só que ele é uma de todas as áreas . Dependendo de como você vende ela , ela pode ser uma área que todas as outras se beneficiam . Porque o Red Team está .
Speaker 3Hoje a gente fala de Cyber Segurança , a gente fala de risco E o que que é risco ? né Risco em forma geral , é tudo aquilo que pode te dar um problema , tudo aquilo que pode gerar algo pra sua empresa , algum dano de forma geral , o que é alguém melhor para comprovar que aquele risco existe . O red team , só que se você não é um red team que conversa com as outras áreas , que você tá ali muito isolado na sua caixinha , você já vai ter um problema e você também não vai conseguir se vender pro board , porque como que o board vai entender o que o red team faz , como que vai chegar a falar , como que o red team vai transcrever as entregas dele . Então as vezes você precisa do endosso de outras áreas para isso .
Speaker 3Propaganda de guerra , propaganda de guerra . Você não escutou bem a nossa propaganda .
Speaker 1Essa propaganda foi muito boa , isso inclusive , deveria se tornar uma fatia da educação em cibersegurança .
Speaker 3Propaganda de guerra também é importante , é isso .
Speaker 2Joás , cara , você está envolvido em outros projetos que não só é segurança ofensiva hoje , né cara , sim , e conta pra gente como é que você tem visto aí na questão estratégica , realmente das empresas na parte de cibersegurança , resposta de ataques , e também conta um pouco o que você tem visto da evolução da cibersegurança no Brasil nos últimos anos . Perfeito da evolução da cibersegurança no Brasil nos últimos anos , perfeito .
Speaker 3Eu vejo que as empresas ainda são muito imaturas na hora de responder um ataque . Fica muito daquela coisa Está acontecendo um ataque , todo mundo correndo para o lugar .
Speaker 1Vamos desenhar um .
Speaker 3Um correndo para cá , outro correndo para lá , Tipo filme . Aconteceu um negócio , mas ninguém sabe o que faz . Vamos desligar Porque às não tem um . Às vezes tem um plano de resposta acidente . Só que esse plano de resposta não é divulgado , só existe ali porque não é testado .
Speaker 2Se não é testado , como é que o povo vai saber ? Você não faz exercícios . Vamos ler o plano . Olha , estudar o plano não dá né , cara .
Speaker 3Tá tudo pegando fogo .
Speaker 2você lá sentado , vamos Sentado vamos ler o plano como apagar o fogo .
Speaker 3Uma coisa que é muito crucial é exercícios de mesa , né Os tabletops . Então você criar exercícios de resposta incidente , falar opa , peraí pessoal . Esse cenário como que funciona , só que também não pode ficar só na teoria .
Speaker 1Aí , é onde entra o red team .
Speaker 3novamente O red team , ele vai pra A gente chega lá pra fazer uma simulação de ransomware , pra fazer a infiltração de dados e provar e ver qual que é a reação da galera de resposta incidente , do C-Search de uma forma geral . Mas eu vejo que ainda tem essa maturidade Muitas das vezes pergunta pra depois agir Não é vocês que estão fazendo o ataque , Não Bloqueia . Depois você pergunta foram vocês que fizeram ?
Speaker 2A gente bloqueou .
Speaker 3Começa a procurar quem que está fazendo o ataque . Não bloqueia . Você está vendo o comportamento malicioso , mas isso não ocorre . Um outro ponto também um arrum . Ah , tá acontecendo um incidente . Abre um arrum , joga todo mundo no arrum . Tá o que vocês tem de informação desse ? não , a gente não tem nenhuma informação .
Speaker 2Mas tá todo mundo aqui junto , então beleza , mas vamos rezar .
Speaker 3Cadê a galera do Faro , a galera do Cien , a galera do pegar Cláudio , pegar Logs no Cláudio .
Speaker 2Eles não tão de plantão hoje inclusive vamos rezarzar .
Speaker 1Acho que faz parte . Você pergunta qual a religião ?
Speaker 3do cara que você está contratando do hacker que você está contratando pode ser útil isso é útil mesmo e você tem muito nesse , num aspecto geral , essas situações que vão acontecendo no dia a dia de pessoas sabendo qual direção responder a um ataque porque não tem playbooks , não tem runbooks , não tem documentação , não faz exercícios , não faz purple team . O red team não faz o trabalho dele , não faz o dever dele de olhar para o que realmente importa e o que que as vezes acontece . Muitas dessas áreas elas começam a brigar . Red team não faz o trabalho dele , não faz o dever dele de olhar pro que realmente importa então e o que que as vezes acontece . Muitas dessas áreas elas começam a brigar com as outras . Né poxa , o red team fica gerando fazendo ataques no feriado . Não é pra fazer isso . A gente tá , mas peraí , a gente tá testando como que tá a eficácia dos controles em vários cenários .
Speaker 2É sim , cara , eu tô feriado , que a galera tá queimando Você tem que avisar que você tá fazendo um ataque .
Speaker 3Mas peraí só avisar , já fica pesado Fazer um gemude de ataque .
Speaker 2É isso Então , um gemude de ataque ? É um gemude de ataque .
Speaker 1Fazer um ataque na hora . Agora tem uma coisa isso tudo Cara . aqui , por exemplo , nós já tivemos longas discussões sobre o que é um SOC , por quê , qual é a definição de um SOC ? A gente começa com pequenas ações de segurança englobadas ali no serviço . Cara , isso aqui já é um SOC , tá , mas é pequenininho . Aí você tem um SOC grande com red team , com blue team , com não sei o quê , e também chama SOC , entendeu , tipo assim . peraí , a gente já viu coisas variando num nível muito grande , entendeu ?
Speaker 3hoje , quando a gente fala de assim . Eu talvez não seja a melhor pessoa pra falar de SOC em si , mas eu acho que tem pessoas com com nível de qualificações que trabalham .
Speaker 2Vivem um mundo de blue team mais do que eu , mas o que eu posso dizer , eu sou camisa vermelha .
Speaker 3É , eu sou , eu gosto , eu prefiro , mas o que eu posso dizer , O negocinho do copo dele tá azul . O produção dele tem que ser o do Gomes É vermelho . Ele é um time vermelho Eu vou fazer o seguinte Eu vou trazer o ponto pra você sobre o SOC . Eu vou mudar a abordagem .
Speaker 1Vamos fazer o seguinte Você , ouvinte , quer saber sobre SOC . Você fala com a C Cyber Pro , é isso .
Speaker 1E aí a gente pega a mesma coisa , a mesma pergunta , porque ao mesmo tempo você aplica ao Red Team Que assim , quais são os básicos , o que é o mínimo que um Red Team Tem que ter de processos Pra ser chamado de ao Red Team . Sim , que assim , quais são os básicos , o que é o mínimo que um Red Team tem que ter de processos para ser chamado de um Red Team , porque se tu botar cinco hackers dentro de uma sala não quer dizer que você tem um Red Team .
Speaker 3Exato E eu vou fazer esse paralelo para ambos . Né Tanto para o Blue Team como para o Red Team . Hoje , para um Blue Team funcionar para ter um SOC , muita o team funcionar pra ter um SOC , muita gente . Ah , pra ter um SOC eu preciso ter um CIEM . Calma , aí é tecnologia , é o pilar , só que é tecnologia , processos e pessoas . Red Team também é a mesma coisa , também tem tecnologia , processos e pessoas , só que qual que é o principal ? todo mundo começa pela tecnologia . Vou contratar milhões de soluções e peraí o processo não tem o processo , não tem o processo , não tem aquela parte de . Ah , eu vou desenvolver um processo de um processo no meu SOC . Designar os processos adequados pro meu SOC , criar playbooks , criar o processo de engenharia de detecção , ter todo esse refinamento SOC , criar playbooks , criar o processo de engenharia de detecção , ter todo esse refinamento das detecções , o que o meu cliente precisa . Refinamento das regras . Então coloca a tecnologia , deixa ela coletando os logs e o que entregar é isso . Mas espera , aí eu já peguei cenários com clientes . Está acontecendo uma coisa muito crítica . Aqui está acontecendo umí . Eu já peguei cenários com clientes . Tá acontecendo uma coisa muito crítica , aqui tá acontecendo um ataque .
Speaker 3Deixa eu olhar aqui ó retornou como crítico , mas peraí será que isso é um problema mesmo . Será que isso não é um falso positivo . Ah , não , mas aqui tá aparecendo , aqui tá falando ah , mas é um SQL Injection . Beleza , vamos validar quando você faz a validação , o SQL Injection . Beleza , vamos validar quando você faz a validação , o SQL Injection nem existe . Por quê ? É uma ferramenta automatizada , é um atacante que tá rodando um dash ali , mas gerou alertas críticas . Então será que não tem que refinar as regras E falta esse processo . Ah , eu preciso ter um processo no meu SOC , eu preciso ter um processo no meu Red Team , eu preciso ter um processo que A galera realmente muitas vezes esquece que o processo é fundamental .
Speaker 2Não é a melhor ferramenta , nem os melhores profissionais , nem os melhores profissionais .
Speaker 3Se você tem que desenhar .
Speaker 2Um depende do outro né .
Speaker 3Você tem que desenhar até onde vai o N1 , até onde vai o N2 , até onde vai o N3 , a mesma coisa . Até onde vai o red team dentro de uma empresa ? Qual que é o limite dele , o que que ele tem que olhar ?
Speaker 1O limite dele é extremamente importante É importante se você não define Qual o limite do red team , eu vou citar aqui Será que tem Não tem , mas tem que ter chance É igual o limite do humor .
Speaker 2Tem o limite do humor . Depende é o ser antes ou não .
Speaker 1Eu vou citar aqui uma das maiores catástrofes da história , a bomba de Hiroshima não a piada do Lynch da catástrofe da história cinematográfica . Vamos falar de Jurassic Park . Qual deles ? o 1 ? Jurassic Park 1 , o início da parada . Ah , putz cara , tudo aconteceu por causa de uma questão .
Speaker 2Não foi exatamente um ataque cibernético foi uma sabotagem , porque era um cara interno então esse lance de você ter não , não , não foi um erro humano .
Speaker 1Tinha um cara que hackeou o sistema inteiro e soltou todos os dinossauros . Ele fez aquilo pra ele roubarou todos os dinossauros . Ele fez aquilo pra ele roubar o DNA dos dinossauros lá , roubar a informação privilegiada e fugir Porque ele tava vendendo Exatamente ele tava vendendo a parada Mas essa que é a parada . Então aí vem a pergunta do Red Team , que faz todo sentido , Porque assim a gente sempre pensa . A gente tá falando aqui sobre defesa , ataque , não sei o que olhando pra fora , Mas olhar pra dentro também é importante .
Speaker 2Também é importante Ah , eu ia se brincar talvez mais importante nesse momento , porque a maioria dos ataques às vezes tá na questão interna , né Porque o cara .
Speaker 1Você quer se proteger do cara que pode roubar a credencial , mas o cara que já tem a cred E esse cara E gestão de identidade está crítico .
Speaker 2Você vê os principais ataques hoje em dia a galera E até por engenharia social . Você vai pegar um cara que normalmente é uma ponta mais fraca e aí você não tem um gerenciamento de acesso bem feio . E aí o Red Team consegue pesquisar e achar esses caras lá e te mostrar como é que você está fazendo a gestão de identidade de forma errada .
Speaker 1Eu sei que você consegue fazer é levantar também um background dos executivos . Sim , exato , isso é um processo que está lá . Todo o Red Team tem que fazer isso ou não . Alguns fazem , outros não .
Speaker 3Essa é uma boa pergunta . Não é comum , você ver , fazer levantamento de background de pessoas estratégicas da empresa Ou pessoas ?
Speaker 2que têm acesso demais .
Speaker 3Exato Puxar ficha índole .
Speaker 2Talvez isso fica muito Geralmente é RH né , rh faz esse processo de , mas a parte de credenciais , a busca por credenciais dessas pessoas chaves , com certeza né , ah , também .
Speaker 3Aí sim , monitoramento , a gente chama de monitoramento de VIP por exemplo , que a gente monitora para ver se essas pessoas não estão tendo os dados vazados , porque esses são profissionais com níveis elevados de privilégio . Mas um ponto importante gerenciamento de acesso , zero trust . Se tem a questão de zero trust , que é confiança zero em tudo , ali você só dá acesso para quem tem que dar .
Speaker 1E quando precisar E quando precisar e ainda vai questionar precisa mesmo pra que sempre tem .
Speaker 3Mas apesar disso você tem inúmeras falhas . E aí volta toda aquela questão do processo . Como que tá o processo de liberação de acesso ? como que tá o processo de desligamento ? ah , você será , ah , mas geralmente quando eu demito alguém que é do time corporativo , demora um dia .
Speaker 2Às vezes demora mais , fica meio chamada , etc . Não tem nada automatizado . Falta solução .
Speaker 3Será que é o mesmo problema de segurança , não é o problema de segurança é um problema interno .
Speaker 2Ali é questão de processo .
Speaker 3Esse é o ponto principal . Uma pessoa que é do corporativo , ela tem que ter o mesmo e que demora um dia pra ser desligada . Alguém de segurança tem que ter o mesmo prazo .
Speaker 2O SLA do cara que tem o nível de acesso ou o nível de conhecimento , maior tem que ser igual . Não velho , primeiro você desliga as cadencials e depois você avisa o cara que ele foi demitido .
Speaker 3Teve um caso numa empresa indiana que foi demitido , e aí o funcionário ainda tinha acesso e fez um deleitou a base de dados inteira .
Speaker 2Cara . A gente simplesmente tem uma solução que é automático se a hora que o cara está sendo desligado , o acesso dele já acaba E hoje tem Tem muitas soluções .
Speaker 1A gente oferece um para o mercado . Lá na CS Pro o procedimento é esse O Gomes , de vez em quando a gente liga um para o outro . Se a gente tenta logar e não consegue , ele fala assim velho , eu fui demitido , é brincadeira mas é verdade Já aconteceu várias vezes . O Gomes me ligou .
Speaker 2Aconteceu alguma coisa aí . O CRM está funcionando .
Speaker 3O . O CRM tá funcionando , o e-mail também . Valeu , foi muito bom trabalhar com você .
Speaker 1É porque a notícia vem depois .
Speaker 2Os caras são meus amigos , pra eles serem desligados , teria que
A importância dos processos em cibersegurança
Speaker 2ser eu tentar ligar pra eles esse pergunto ainda não é amizade , é amizade , mas liga pra mim esse pergunta ainda imagina , não é a gente fala que a gente leva as coisas amizade é amizade é , mas liga pra mim pergunta né cara você tá puta , eu vou ligar .
Speaker 2Se eu tô puta , eu tenho motivo fica claro , estamos chegando no tempo aqui , mas eu tenho que falar que o Joás é um dos caras mais generosos que eu conheço , principalmente ali no LinkedIn , auxiliando a comunidade , os profissionais , que muita gente faz muita pergunta pro Joás e ele tem a puta paciência de responder todo mundo e ajudar a galera que tá iniciando . Cara , você tem uma experiência bacana em mentoria ali , né , cara ? Eu vou fazer duas perguntas em uma . Primeiro , como é que você , quem que você escolhe pra mentorar ? Como é que funciona esse negócio ? E o cara que tá iniciando tá ouvindo a gente aqui , tá gamadão , quer ser red team , quer atacar . Que pronto , ele tem que começar , que às vezes não é simples . Fica bem claro que cara leva tempo , é muito conhecimento , muito estudo e dedicação . E você falou algo no início que às vezes não é por causa da grana você gosta daquilo , você tem que ter uma paixão por aquilo , algo que o Prado falar . Você tem que estar a correr a cybersegurança na veia né cara Conta pra gente .
Speaker 3Exato , não isso . Eu sempre olho pras pessoas que eu vou ajudar de alguma forma . Eu vejo o quão elas estão , o quanto elas acreditam na ideia de uma forma geral . Elas acreditam em cybersegurança . Tem muita gente que tá pelo dinheiro .
Speaker 3Ok , normal , o dinheiro tá aí Todo mundo ninguém trabalha de graça né Só que você tem que pensar que existe uma responsabilidade E às vezes sempre tem aquela frase né Não tem dinheiro que pague para fazer alguma coisa que eu não quero . E saber a segurança tem muito sobre isso . Né Não que você vai chegar num momento que você vai estar ali numa situação complicada , mas você vai ter o estresse . Então , se você só tá pelo dinheiro , você vai falar ah poxa , esse estresse aqui não compensa . Então você , ah , acho que eu vou me ligar pra outra área , o que acontece . Muita gente fala acho que não tem pessoas que migram , não saem de cibersegurança , tem . Tem muita gente que sai de cibersegurança e vai pra outras áreas .
Speaker 1O cara que é red team e tá ali só pelo dinheiro , ele acaba virando hacker ele vai pra maldade ele sai do red vai pro black team ele vai pro , ele vai pro lado negro da força
Speaker 3então assim você vai passar por muitas burocracias dentro de empresas , você vai passar por várias situações . Então eu sempre deixo claro pessoas que pedem ajuda . Eu tento entender aonde você quer ir com o cyber segurança e como você vê cyber segurança . Se a pessoa vê Cyber Segurança como somente algo , uma oportunidade de fazer dinheiro , eu falo beleza , você está com uma mentalidade , você tem a sua própria mentalidade . Mas você vai desanimar no primeiro momento que você olhar o material de estudos que eu vou te passar . Esse é o material de estudos . Estuda aí os preços das certificações , os preços das formações de uma forma geral , fala ah , não , olha mil dólares numa certificação , acho que não vale a pena , não vou conseguir pagar . E aí muita gente fala porque tem esse o processo pra quem tá iniciando é muito complicado . Você conseguir sua primeira oportunidade , você conseguir entrar no mercado , etc . Isso gera um cyber deception . É Então você gera uma decepção ali de uma forma geral .
Speaker 3E eu falo pessoal beleza , você tá , tem muita gente que chega . Já vi muitos amigos falam pô , eu tô decepcionado com o red team , mas por quê É muita ? muitos amigos falam eu tô decepcionado com o red team , mas por quê é muita burocracia . Eu não posso fazer nada . Aí eu tenho outros amigos . Ah , tô decepcionado com o blue team , por quê eu só fico em ferramenta , é muita ferramenta . Parece que eu não tô fazendo cyber segurança .
Speaker 1Aí eu falo é isso então não tem muito como eu falo não tem muito , falou assim .
Speaker 3Você tem que buscar o que é bom pra você . Se você não se encontra em Blue Team , vai pra AppSec , vai pra outras . O profissional de Cyber Segurança tem que entender que ele é um profissional de Cyber Segurança . Aqui tá o Joage e Red Team , mas eu não posso deixar de entender de Blue Team , de AppSec , de Cloud Security . Eu tenho que entender desse mundo . Mas óbvio se perguntar , joás , qual que é o seu , sua ênfase principal ? Red team , porque é uma coisa que eu gosto E você faz o que você gosta , mas também só vai fazer o que você não gosta . Então eu sempre deixo claro isso pras pessoas que eu mentoro eu não seleciono idade público , eu seleciono pessoas que querem entrar pra essa área e ser um diferencial com propósito , porque o mercado vai ficar cada vez mais um pouco complicado .
Speaker 3Eu não vou usar aquele discurso de que falta profissionais para trabalhar . A gente sabe que o mercado vai inflando , várias empresas vão surgindo e vai ter mais vagas . A questão é profissionais que entendam de negócio e que sabem executar . Hoje a gente tem já um problema que questão é profissionais que entendam de negócio e que sabem executar . Hoje a gente tem um problema que é pegar profissionais que sejam pesquisadores . Hoje talvez a gente vive na era das coisas rápidas , né Do short , dos reels , do chat GPT , das coisas , e aí você tem um monte de informação . só que às vezes essas informações elas não vêm de uma forma limpa . Então , em vez de você pegar um artigo de alguém que escreveu um artigo lá no Medium 20 minutos de artigo explicando toda a teoria , todo o conceito , a gente vai no chat de EPT e coloca o que é isso E a gente já fica somente com aquele conceito Pesquisa é importante . Eu vejo esse perfil de profissional como um diferencial e vai ser um diferencial no futuro um profissional que saiba pesquisar e que seja autodidata e não um profissional que ele só pega e só sabe executar . então executa lá , mas você pergunta o que você está fazendo ? Ah , eu não sei . eu só rodei esse comando , peguei o resultado porque eu aprendi que era assim no curso . o chat de EPT me ensinou dessa forma E isso cada vez mais vai ficando evidente conforme vai passando as gerações , novas gerações que estão vindo , que vamos ter esse problema no mercado . A gente vai ter mais executores e menos talvez analistas , menos pessoas com esse grau de percepção e de trazer resultados consistentes para o negócio , agregar valor ao trabalho .
Speaker 3Então o que eu falo assim para quem quer entrar na área de cibersegurança , não é somente abrir o Calilino e estudar , é você entender o que você está estudando , pegar os conceitos , entender , adquirir essa base , colocar em prática , mas também fazer . o ponto principal é o que você está fazendo , o que você está estudando , o que você está desenvolvendo . o que você tá desenvolvendo , como que eu vendo esse trabalho pra alguém que não conhece ele , porque você chega lá , tô fazendo um pen test . o que você tá fazendo falando Ah , tô fazendo um pen test . Você encontrou o que ? Ah , encontrei um SQL inject , xss . O que que é essa vulnerabilidade ? Ah , não sei , mas eu sei que ela é alta , ela é crítica , eu sei que isso pode dar problema .
Speaker 1Não sabe como faz Exato , não sabe o que é .
Speaker 2Busca o que Conhecimento Busca . Conhecimento É tebilu .
Speaker 3E aí uma coisa principal qual que é o impacto no meu negócio ? Ah , você reportou essa vulnerabilidade aí , mas qual que O que que isso , o impacto no meu negócio ? ah , você reportou essa vulnerabilidade aí , mas qual que o que que isso ?
Speaker 2impacta no meu negócio . É crítico por quê ? não tem nenhuma máquina que não vai usar pra nada ?
Speaker 3me diga porque eu devo corrigir essa vulnerabilidade , não porque ela é alta vai . Porque ela é alta porque tá escrito na UASP , no CWE é o profissional , tem que entender do negócio .
Speaker 2hoje é um diferencial tremendo , é um diferencial .
Speaker 3Não adianta . Você não vai trabalhar com o cybersegurança sem você entender de negócio . É um desafio . Você vai trabalhar com vários tipos de negócios , vários tipos de empresas e até mesmo , às vezes , os próprios executivos . Eles estão com uma direção no negócio e eles mudam , e você tem que acompanhar isso também , se você não acompanhar .
Speaker 3Ele vai entender e falar , mas peraí , o Reddit ainda está ali , o segurança ainda está ali , mas a gente já está indo para essa direção , onde que vocês estão olhando . Então vai faltar profissionais com essa capacidade E se você está querendo procurar uma oportunidade no mercado de trabalho , entenda que você tem que se desenvolver , você tem que ir atrás do conhecimento . Você vai ter que fazer alguns sacrifícios . Eu fiz vários sacrifícios sobre pagar curso , ter certificações . Você ficar a noite sem dormir vai priorizar outras coisas .
Speaker 2Noites ali para estudar , né Carlos .
Speaker 3Você vai ter que fazer algum sacrifício . Não ache que , ah , porque a cybersegurança está aquecido . está aquecido , só que é uma corrida E a gente até pra contratação , eu ajudo , às vezes na contratação de algum profissional . você pergunta ô , flano , por que você se candidatou na vaga ? Ah , porque eu vi na reportagem , lá , que a cyberer Segurança estava aquecido , estava precisando de gente Aí você pergunta você sabe o que é confidencialidade , integridade e disponibilidade ?
Speaker 3Aí vai lá no chat de EPT ah , eu vi aqui confidencialidade
Conselhos para iniciantes na cibersegurança
Speaker 3. Me dá um exemplo ? Aí , já era Como assim . Um exemplo de confidencialidade . Me dá um exemplo . Me fala de integridade , me fala de disponibilidade . Umidade Fala de disponibilidade . Um exemplo Fala um ataque que afeta a disponibilidade , um ataque que afeta a integridade . As pessoas travam Ah , pen test , vagas de pen test . Você está se adiantando em uma vaga de pen test . Chega lá , você já fez pen test ? Não , já fiz . Já mexi com Kali Linux . Beleza , se eu te dar uma máquina Windows 10 , windows 11 , aqui , ah , eu vou instalar o Kali . Não , você não pode instalar a virtualização , você não pode instalar a WSL . E tem como fazer o pen test usando o Windows Uai .
Speaker 2Como assim , só Kali .
Speaker 3Como não Você E isso , Como , assim Só calha , Como não Você . E isso Isso até foi uma conversa que eu tive com um pentester . Eu falei que ele tinha muita dificuldade pra fazer pentest em ambientes adesos . Eu falei cara , mas se você tiver ali uma máquina com Windows , com PowerShell , o céu é limite . Já conectado num domínio , você já pode fazer muita coisa . Tiver ali uma máquina com Windows com PowerShell , o céu é limite . Se já tá conectado no domínio , você já pode fazer muita coisa . Ah , e tem como Eu não sabia que daria pra usar PowerShell pra fazer pen test , Porque eu falo peraí , aonde , como que ? como que você acha que a galera fazia pen test antes do Carlinhos ?
Speaker 1Antes do backtrack Não existia , não existia , não existia . eu falo assim aquele aquele meme tem um cara eu descobri o Carlinhos é o cara nas peças , cara sabe o idiota que volta no tempo e aí , quando ele chega no passado , ele fala não , no futuro vai ter um negócio que você bota assim a água e vira não sei o que e tá pronto . Mas como é que faz ? Não sei , não sei .
Speaker 3É exatamente isso .
Speaker 1Vai ter uma máquina que você aperta liga se sai a imagem ou sai a comida . Você acende o fogo . Você só arrisca . Aperta o botão , o fogo acende , Acende uma fogueira , aí Cadê o fósforo . O cara não sabe como fazer as coisas .
Speaker 3E isso vale pra qualquer área , eu cito o Pentax aqui . Mas pra quem vai pra SOC , uma coisa que eu falo assim , eu já trabalhei com SOC , já liderei times de resposta incidente também , mas a parte de resposta incidente não fiquei muito ali no monitoramento . Mas eu falo pra galera pessoal . So que não é só você estar olhando para eventos de segurança , ligando para o cliente e falando olha , percebemos um alerta aqui . Não , você entende o que aquele ataque está fazendo . Se eu tenho uma empresa que está monitorando o meu ambiente e o analista não entende o ataque , ele só está pegando pelo nível de criticidade . Eu falo beleza , e se a minha técnica que eu estou utilizando o EDR , o CIEM , os logs do CIEM , ele joga com baixa o seu SLA , vai ser , você vai usar o SLA de critério baixo , sendo que aquela técnica pode ser uma evasão que ocorreu no dispositivo de matéria que as vezes o próprio EDR não detectou . Ele detectou algum comportamento específico , por isso que ele levou com baixa . Como que você usa o critério ali de análise das ameaças .
Speaker 3Você está por dentro das ameaças do dia . Ah , não , eu já vi esses cenários . Ah , o que é mimiquete ? aí olhei assim pra pessoa , pessoa com o beret Mimikatz . É aqui um alerta de Mimikatz na máquina . Por que você não avisou antes ? Estava rodando o Mimikatz estava fazendo um dump dos credenciais da máquina ali Não , mas eu não sabia Mas . E outra Por que você não deu o Google O que é Mimikatz .
Speaker 2O que é Mimikatz Estava lá .
Speaker 1Curiosidade né cara , Não Google .
Speaker 3Fulano , o que é Mimikatz Não dá um Google Ou o GTPT . O que é Mimikatz É um problema . Você ver um alerta , é só colocar um problema .
Speaker 2O GTPT é um problema , né Sim nossa pergunta . Quem pergunta quer saber .
Speaker 3E aí é isso .
Speaker 2Então , E eu vejo que o cenário do mercado de cibersegurança está , a gente ainda está engatinhando . Vai continuar muito tempo aquecido , porque tem muito para evoluir .
Speaker 3A gente está evoluindo , está engatinhando para coisas melhores . A IA está vindo aí para auxiliar , mas os profissionais têm que estar , têm que entender a função que ele , a função dele . Tem muitos profissionional que chega trabalhando mas ele não entende o que faz . E se você não entende o que faz , não entende a sua função , você não vai conseguir vender pra sua diretoria , até mesmo o seu trabalho , pro seu chefe , como que você vai pedir uma promoção , se você não sabe vender o seu trabalho . Então eu deixo essa dica pra qualquer profissional que vai entrar agora no mercado de ciberseg , cyber , segurança , que quer se especializar saiba como vender o seu trampo . Então você está estudando o Red Team , está estudando o Blue Team , devsecops , estude , adquira a parte técnica , adquira também a soft skill para aprender a vender o seu trampo , para você divulgar melhor o seu trampo ali . mas você também tem que saber vender o seu trampo pra qualquer tipo de pessoa , o que você faz .
Speaker 2Ah , eu faço cibersegurança , mas o que você faz necessariamente Defina . Então é isso , Galera o papo tá bom , mas , mr Anzzi , que hora que nós chegamos , mr .
Speaker 1Anzzi , vamos chegar agora em considerações finais , onde você tem espaço pra fazer aí suas declarações .
Speaker 3Passar link do livro falar do seu campo , falar onde vai o seu campo falar sobre dar conselho vender o que você quer vender e é claro , faça o seu jabá .
Speaker 1É claro que também , considerações finais , é um oferecimento de AciaCyberPro . Vamos que vamos .
Speaker 3Perfeito . Então , pessoal , quem quiser adquirir o livro é só acessar a Amazon , procurar lá Introdução a Red Team Operations . Tem outros livros também , tem o Introdução à Segurança Ofensiva , tem a Parte 1 , tem outras obras também , tem o Desenvolvimento em Linguagem C . Está surgindo outros livros também desenvolvimento de exploit , evasão de defesa , segurança ofensiva 3.0 , purple team , blue team e etc . Se você também quiser entrar em contato comigo ali no LinkedIn , fica à vontade . Eu tô sempre à disposição .
Speaker 3Nem tudo eu sei , mas a gente vai junto atrás das respostas , procurar conhecimento , porque essa é a parte
Considerações finais e recomendações
Speaker 3divertida da área de cibersegurança E o fundamental se você é alguém que quer entrar na área de cibersegurança , busque conhecimento . Não espere as coisas caírem no seu colo , não espere as coisas virem até você vá atrás delas E questione , pegue ali aquele profissional que você sente confortável e beba da fonte do conhecimento dele , fala aonde quais foram os seus erros , seus acertos . Tem muito profissional , principalmente os que vêm aqui no podcast , que estão à disposição pra ajudar você de alguma forma . Então eu também estou , assim como os outros convidados que já vieram aqui . Com certeza eles vão estar à disposição pra ajudar você . E é isso Eu deixo aqui como o recado final .
Speaker 1Não , não é só isso . Você que não quer comprar , você não quer investir num livro de cibersegurança , tira essa camisa vermelha que tu não é Red velho .
Speaker 2Busque conhecimento , busque conhecimento .
Speaker 1Busque conhecimento pra lá baixo .
Speaker 2Joss , muitíssimo obrigado , cara , obrigado pela sua generosidade de sempre pra auxiliar a comunidade , compartilhar o conhecimento . Ó a galera falou , eu não sei de tudo . Se ele não souber , pode saber que você não sabe obrigado pra caramba valeu , até a próxima .
Speaker 3Que é o café . Que é o café .
.png)
